MiracleLinux 4jakarta-commons-httpclient-3.1-0.9.AXS4 (AXSA:2014-529:01)
medium Nessus Plugin ID 289838
語言:
概要
遠端 MiracleLinux 主機缺少安全性更新。說明
遠端 MiracleLinux 4 主機已安裝一個受到 AXSA:2014-529:01 公告中所提及的弱點影響的套件。描述:
超文字傳輸通訊協定 (HTTP) 可能是目前網際網路上最重要的通訊協定。Web 服務、具備網路功能的應用裝置以及網路運算能力的成長不斷將 HTTP 通訊協定的角色延伸到使用者導向的 Web 瀏覽器之外並且增加可能需要 HTTP 支援的應用程式數量。
雖然 java.net 套件提供透過 HTTP 存取資源的基本支援但其並未提供許多應用程式所需的完整彈性或功能。Jakarta Commons HTTP Client 元件試圖透過提供有效、最新且功能豐富的套件實作最新 HTTP 標準和建議的用戶端來填補這個空白。
專為延伸而設計同時為基本 HTTP 通訊協定提供健全的支援。任何構建 HTTP 感知用戶端應用程式 (如網頁瀏覽器、Web 服務用戶端)或利用或延伸 HTTP 通訊協定進行分散式通訊的系統的使用者都可能會對 HTTP Client 元件感興趣。
此版本修正的安全性問題
CVE-2014-3577 Apache HttpComponents 之前的 HttpClient 4.3.5 和 HttpAsyncClient 之前的 4.0.2 中的 org.apache.http.conn.ssl.AbstractVerifier 未正確驗證伺服器主機名稱是否與X.509 憑證其允許攔截式攻擊者透過憑證辨別名稱 (DN) 欄位的 CN= 字串偽造 SSL 伺服器foo,CN=www.apache 即為一例。 O 欄位中的 org 字串。
Tenable 已直接從 MiracleLinux 安全性公告擷取前置描述區塊。
請注意,Nessus 並未測試此問題,而是僅依據應用程式自我報告的版本號碼作出判斷。
解決方案
更新受影響的 jakarta-commons-httpclient 套件。另請參閱
Plugin 詳細資訊
嚴重性: Medium
ID: 289838
檔案名稱: miracle_linux_AXSA-2014-529.nasl
版本: 1.1
類型: local
已發布: 2026/1/16
已更新: 2026/1/16
支援的感應器: Nessus Agent, Nessus
風險資訊
VPR
風險因素: Low
分數: 3.3
Vendor
Vendor Severity: High
CVSS v2
風險因素: Medium
基本分數: 5.8
時間性分數: 4.5
媒介: CVSS2#AV:N/AC:M/Au:N/C:P/I:P/A:N
CVSS 評分資料來源: CVE-2014-3577
CVSS v3
風險因素: Medium
基本分數: 4.8
時間性分數: 4.3
媒介: CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N
時間媒介: CVSS:3.0/E:P/RL:O/RC:C
弱點資訊
CPE: p-cpe:/a:miracle:linux:jakarta-commons-httpclient, cpe:/o:miracle:linux:4
必要的 KB 項目: Host/local_checks_enabled, Host/MiracleLinux/release, Host/MiracleLinux/rpm-list, Host/cpu
可被惡意程式利用: true
可輕鬆利用: Exploits are available
修補程式發佈日期: 2014/9/15
弱點發布日期: 2014/8/12
參考資訊
CVE: CVE-2014-3577